WAF网站保护系统解决方案

1、XXXX WAF 安全解决方案XXXX 公司目录 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 项目背景1 HYPERLINK l bookmark2 o Current Document 网络现状分析1 HYPERLINK l bookmark4 o Current Document WEB安全现状分析 1 HYPERLINK l bookmark6 o Current Document 安全风险及需求分析 2 HYPERLINK l bookmark8 o Current Document 安全风险分析2 HYPERLINK

2、l bookmark10 o Current Document 网站防护方案设计4 HYPERLINK l bookmark12 o Current Document 实现目标4 HYPERLINK l bookmark14 o Current Document 设计原则4 HYPERLINK l bookmark16 o Current Document 参考标准 4 HYPERLINK l bookmark18 o Current Document 总体设计方案 5 HYPERLINK l bookmark20 o Current Document 产品部署方案5 HYPERLINK l

3、bookmark22 o Current Document 产品选型5 HYPERLINK l bookmark24 o Current Document 产品部署示意图 5 HYPERLINK l bookmark26 o Current Document 详细部署介绍 6 HYPERLINK l bookmark28 o Current Document 部署后可达到的效果 6 HYPERLINK l bookmark30 o Current Document XXXX WAF网站保护系统主要功能 7 HYPERLINK l bookmark32 o Current Document 漏洞

4、防护7 HYPERLINK l bookmark34 o Current Document 攻击防护7 HYPERLINK l bookmark36 o Current Document 网页代码检查 8 HYPERLINK l bookmark38 o Current Document 访问加速8 HYPERLINK l bookmark40 o Current Document 访问分析 8 HYPERLINK l bookmark42 o Current Document 挂马检测8 HYPERLINK l bookmark44 o Current Document XXXX WAF技术

5、优势 8 HYPERLINK l bookmark46 o Current Document XXXX售后服务体系9 HYPERLINK l bookmark48 o Current Document 服务团队9 HYPERLINK l bookmark50 o Current Document 服务能力9服务项目10技术咨询服务10 HYPERLINK l bookmark55 o Current Document 远程协助服务 10 HYPERLINK l bookmark57 o Current Document 产品重部署支持11 HYPERLINK l bookmark59 o Cu

6、rrent Document 产品升级服务11 HYPERLINK l bookmark61 o Current Document 产品保修服务11 HYPERLINK l bookmark63 o Current Document 产品维修服务11 HYPERLINK l bookmark65 o Current Document 培训服务111项目背景我国互联网用户规模也快速增长，网络基础设施的迅速发展为互联网取得成功提供了坚实的基础，电子商务和电子政务等网络技术的应用和普及不仅给人们的生活带来便利，而且正在创造着巨大的财富。截至2008年底，中国网站数量已经增长至287万个，网页数增长至

7、 160.9亿个，提供WEB服务的主机成为黑客攻击的新对象。在利益的驱使下，网站挂马成为黑客产业链上的重要环节，黑客对 WEB服务器进行病毒植入、恶意删除文件、数据篡改和窃取等恶意侵入，给企业和政府核心业务造成严重的破坏。利用网站传播木马和病毒涉及的受害群体范围广，并且有可能在用户不知情的情况下成为黑客的傀儡主机，被黑客利用进行更深一步的犯罪行为。网络现状分析组织机构名称通过经过多年的建设，XXXX已经形成了比较完善的局域内网、DMZ区外网业务网络。内网是内部办公网，使用防火墙、IPS等安全设备对互联网进行隔离保护。DMZ区外网业务网络是对外部提供Web服务的网络区域，使用防火墙进行DMZ区隔

8、离保护，同时部署了 IPS进行安全防护。组织机构名称网络的拓扑结构如下图所示。图1 XXXX网络现状图Web安全现状分析近年来 组织机构名称 网络业务承载日益多元化，XXXX 对外网站系统是其对外门户网站，向外部提供 组织机构名称 信息的重要平台。伴随着我国信息化产业的发展，大批针对于网站的黑客攻击，恶意挂马，网站篡改等不法行为也越来越猖獗，根据IDC统计，2005年以来很多政府单位、事业单位以及大型国企网站被恶意攻击，严重影响了正常业务，带来了不良的社会影响。据统计，在 2009年第一季度里，每周都有1千万以上的网页被植入木马，网站安全正面临着前所未有的挑战。一般挂马网站集中在政府门户、大型

9、国企门户等重要的单位网站，此类网站一旦被挂马，会造成恶劣影响，影响组织机构的公众形象。中国大陆祓篁改网页数量年份统计图2中国大陆地区被篡改网页数量统计报告（数据来源：CNCERT/CC ）针对 Web应用的传统防御方法，例如 IPS/防火墙/UTM 等传统的安全设备，已经不能对 Web服务器提供有效保护，黑客攻击技术的快速更新需要更加多元化的防御方法。对于网站安全而言，建立起结构化，立体式的Web纵深防御体系迫在眉睫。以 XXXX WAF为主要部件的XXXX网站保护系统在动态防御技术上相对领先，部署后能显著提高Web服务器的安全防御级别，能够有效提高网站性能，同时减少服务器负载，直接降低了用户

10、管理成本和安全运维成本，更加突显产品的实用价值。2安全风险及需求分析组织机构名称 系统网络结构复杂，应用多种多样，内部终端和服务器众多，在对组织机构名称系统进行初步分析后，系统网络中目前面临以下安全风险：2.1安全风险分析随着互联网应用的发展，基于网络的信息服务方式也在不断的发生改变，基于互联网的新型服 务方式在为应用提供方便的同时，也将自身服务器暴露在了病毒和黑客面前。如果这些服务器 一旦瘫痪或者因被人植入后门程序而造成被远程控制数据被窃取，后果不堪设想。为了保证业 务数据的正常流通和安全，需对这些重要的Web服务器进行全方位的安全防护。实际情况是这些服务器的安全防护情况并不理想，主要存在以

11、下几个方面的问题：Web服务软件开发复杂，工作量大，想要在海量的动态Web页面代码中，找到安全漏洞，并修补它们，是非常困难和高成本的持续性工作。Web服务器软件自身的漏洞问题频出，这些漏洞很容易被黑客和病毒利用，成为被攻击和注入/挂马的牺牲品。考虑到兼容性问题，Web服务器通常不会及时更新补丁，这更造成服务器容易被病毒或黑客入侵，从而使组织机构面临很大的网络安全风险。网络应用较多，而维护人员相对较少。这些人员一方面要维护重要服务器的运行，网 络服务的正常开展，另一方面又要监控网络运行和安全状况，工作压力很大，无法顾 及到所有服务器的实时安全情况，导致当网络中出现安全隐患后不被及时发现，或者发现

12、后未能及时处理，最终这些微小的隐患可能造成更加严重的后果目前该网络采取的对 Web服务器的防护方式主要是使用防火墙作为安全防护的基础设施，同时辅以IPS设备作为应用层安全检测设备，同时在服务器端安装杀毒软件作为最后一道防线。这样的解决方案存在如下弱点：防火墙设备对于开放端口的Web 服务没有防护能力。一般的网络中都会部署防火墙作为安全防护设备，但防火墙仅能控制非授权IP对内不得访问，对外应用服务器，是被防火墙允许的访问。由于实现原理的限制，防火墙对于病毒或黑客在应用层面的入 侵攻击“视而不见”。入侵检测防御系统（IPS ）对于病毒的攻击行为反应缓慢。IPS主要负责监测网络中的异常流量，对受保护

13、网络提供主动、实时的防护，特别是那些利用系统漏洞进行攻击和传播的黑客工具以及蠕虫病毒。由于IPS对WEB的检测粒度很粗，随着网络技术和Web应用的发展复杂化，IPS在更需要专业安全防护特性的WEB防护领域已经开始力不从心。Web服务器端是 Web安全防护的重要环节，虽然 Web服务器做了相关的安全防护。但服务器端的安全设置较为专业、复杂，一旦设置不合理，就使得Web服务器端很容易成为恶意攻击入侵的对象。3网站防护方案设计实现目标通过XXXX的信息安全技术和丰富的安全防护设计经验，为 XXXX Web系统提供一个技术领先、稳定可靠的网站保护防御体系，有效抵御各种恶意威胁的攻击，提高网站系统的安全

14、级别和防御水平。设计原则根据XXXX网络系统的现状和系统安全和管理的需要，我们考虑保护系统应遵循以下几条原则：技术和产品的成熟性和稳定性。充分考虑网站保护产品本身和技术上的成熟性。网站保护系统必须是成熟而且经受大量用户实例考验的产品。可管理性。对于这样安全防护产品，要管理安全防护规则的升级、配置和支持是非常 难的事，这就要求提供一个方便管理的平台。系统必须提供简化管理的工具，包括对攻击特征文件和防护引擎的分发升级、报警管理和日志分析整理等。易用性。网络中设备及软件较多，各类网络产品种类繁多，对于网络管理员来说产品 友好易用性将起到事半功倍的效果。参考标准ISO15408 / GB/T 1833

15、6分简介和一般模型；ISO15408 / GB/T 18336分安全功能要求；ISO15408 / GB/T 18336分安全保证要求；信息技术安全技术信息技术安全技术信息技术安全技术信息技术安全性评估准则，第一部信息技术安全性评估准则，第二部信息技术安全性评估准则，第三部国务院令第147号中华人民共和国计算机信息系统安全保护条例公通字200743 号信息安全等级保护管理办法GA-243-2000计算机病毒防治产品评级准则公安部令第51号计算机病毒防治管理办法GB/T22239-2008信息安全技术信息系统安全等级保护基本要求；GB/Z 20985-2007信息技术安全技术信息安全事件管理指南

16、GB20986-2007-Z信息安全技术信息安全事件分类分级指南总体设计方案在组织机构名称网络系统中串行部署 XXXX WAF网站保护系统，将所有 Web访问流量进行深度检测和过滤，阻挡恶意 Web请求流量，以实现对 组织机构名称网站系统的全方位安全保护。4产品部署方案产品选型根据组织机构名称 网站带宽和业务流量及应用的实际情况，我们推荐使用XXXX WAF产品一一型号名称高性能网站保护系统。该系统处理性能参数如下表：参数值备注网络接口数量Web吞吐量CPS处理能力Connections Per second并发连接数产品部署示意图针对网络结构及所面临的风险不同，XXXX WAF 网站保护系统

17、在网中可以采用多种方式灵活部署。图5网站保护系统在 web外网服务区中的部署此部署方式适用于 DMZ区Web服务器区环境，在交换机上串行接入XXXX WAF系统，所有Web请求和恶意访问攻击均由XXXX WAF系统来承担处理，清洗、过滤后 XXXX WAF系统向真实的服务器提交请求并将响应进行整形、压缩等处理后送交给请求客户端。这样可以很好 的防范来自互联网的威胁，保护网站的安全、稳定、高性能运行。详细部署介绍组织机构名称网络中在网关处已经部署了防火墙产品和ips安全产品，建议网站保护系统的部署采用纯透明串行接入模式。纯透明串行接入方式可以在不改变原有网络结构的情况下接入，一般放置在路由器或防

18、火墙设备后面的交换机上。这样接入的优点是：对现有网络结构的完全不影响。安装、部署方便简单。部署后可达到的效果通过部署网站保护系统，可以使网络中Web服务器的安全性得到大幅提升。简单的接入方式部署快速简单，无需更改现有网络拓扑结构。XXXXWAF保护系统以纯透明串行接入，对现有网络的不产生影响；无需改动网络拓扑模式，接 入简单、方便。Web访问数据清洗、过滤。对于客户端的每个请求进行深度的检测、清洗、过滤，有效阻击恶意请求，SQL注入，SQL盲注、密码猜测，网站扫描，XSS攻击，表单字段篡改、参数篡改、网页include脚本注入攻击、恶意代码、跨站请求伪造(CSRF)、跨站脚本(XSS)、会话劫

19、持Google Hacking等的深度防御。保护网站服务器免受漏洞攻击。对代码执行、目录遍历、脚本源代码泄露、CRLF注入、COOKIE篡改、URL重定向等多种漏洞攻击进行有效防护。强大的Web攻击防护。XXXXWAF网站保护系统对客户度请求提供多重检查机制和智能分析，确保对高安全风险级别攻 击事件的准确识别率，针对Flood攻击、SQL注入、跨站脚本、目录遍历等主要攻击手段,提供了有效识别、阻断并告警。降低服务器压力，节省带宽。通过XXXXWAF网站保护系统的访问加速功能，将用户经常访问的页面和最近访问的页面缓存到系统本地内存直接发送，降低服务器压力。还可以开启压缩功能，节省带宽资源，降低出

20、口网络拥堵的风险。详细掌握网站访问状况。通过访问分析，全面掌握时段流量、PV,关键词搜索，搜索引擎收录，等访问分析数据，全面掌握网站的运营情况；为管理员改进网站功能和合理分配服 务器资源提供可靠的依据。通过日志报表能够及时发现网站的安全隐患。XXXXWAF网站保护系统具备完善的日志功能，不但拥有多种类型的日志，可以随时通过网站保护系统实时显示，而且在网站故障时，可以通过电子邮件和短信方式通知管理员。减轻维护人员的工作压力。部署网站保护系统后，攻击和入侵已经被拦截，根本不会威胁网站系统，减轻了维护人员的工作压力。另外通过 XXXXWAF保护系统内显示的相关信息，维护人员可以轻松的掌握网站的运营和

21、安全情况。XXXX WAF网站保护系统主要功能漏洞防护XXXX WAF 系统能够对 SQL注入、跨站脚本、代码执行、目录遍历、脚本源代码泄露、CRLF注入、COOKIE篡改、URL重定向等多种漏洞攻击进行有效防护。攻击防护XXXX WAF系统能够对用户请求提供多重检查机制和智能分析，确保对高安全风险级别攻击事件的准确识别率。针对Flood攻击、SQL注入、跨站脚本、目录遍历等主要攻击手段，XXXXWAF系统提供了有效识别、阻断并告警。网页代码检查XXXX WAF系统能够对用 ASP、ASPX、JSP、PHP、CGI等语言编写的页面，对用SQLServer、Mysql、Oracle等数据构建的网

22、站进行检查，能够在客户网站被挂马之前发现网站的 脆弱点，从而使客户可以未雨绸缪，避免挂马事件的发生。访问加速XXXX WAF 系统通过在现有的互联网中增加一层新的网络架构，将网站服务器内容缓存到系统 内存中，使用户可以就近取得所需内容，降低服务器的压力，解决互联网拥挤的状况，提高用 户访问服务器的响应速度。从而解决由于网络带宽小、用户访问量大、网点分布不均等原因所 造成的用户访问网站响应速度慢的问题。访问分析XXXX WAF系统提供强大的用户访问分析功能，对用户访问的 IP地址、浏览深度、访问来 源、客户端信息、网站流量等进行详细的统计。通过对用户访问网站的行为分析报告，为管理 员改进网站功能

23、和合理分配服务器资源提供可靠的依据。桂马检测多数攻击者在成功入侵并不采取直接的网站篡改，为了获取更多的经济利益往往采取比较隐蔽 的方式，其最终目的是为了盗取用户的敏感信息，如各类账号密码，甚至使用户电脑沦为攻击 者的“肉鸡”。一旦网站服务器成为传播病毒木马的“傀儡帮凶”，将会严重影响到网站的公 众信誉度。XXXX WAF 技术优势强大的Web防护能力2000多条Web安全检测规则，超过 20个分类。支持虚拟主机，多域名、多个网站的保护。Web安全检测规则及时更新升级，提供可靠的升级保障。系统安全性保障自主研发高可靠性操作系统，系统本身安全性得到了有效的保障。集成Intel最新多核硬件平台，产品

24、处理性能得到了质的飞跃。友好操作界面可管理性简易方便的管理页面，适合国内用户使用习惯提供图形化的WEBUI界面管理系统，用户可灵活制定策略多级管理员分级控制，方便多层次管理。丰富的日志查询和报表提供详细的攻击、入侵日志信息，详细了解安全事件情况提供安全事件统计功能，对源地址、URL,攻击方式等进行统计报表功能，日报、周报和月报看按周期了解网站安全状况。XXXX售后服务体系XXXX 公司作为最早从事信息安全研究和应用的单位，经过多年的技术积累和培养形成了一支技术过硬，经验丰富的服务队伍，具备专业的服务能力。服务团队为加强对重点用户服务， XXXX特成立针对重点用户的多个网站安全事件响应小组，每个

25、小组 各司其职，并能在重大 Web安全事件爆发时或根据用户需要在现场提供全方位的安全服务。现 场救援小组主要服务重点是用户现场紧急事件救援响应；产品救援组负责用户现场产品紧急事件响应。为了更快速的处置新出现的病毒事件，XXXX还抽调各职能部门的核心人员建立了跨部门的项目组，出现紧急事件可以协同整个单位的资源联合服务。XXXX网络安全硬件服务工程师均具有多年重点用户的产品实施及服务经验，通过多年的实践 积累，能熟练规划各种网络环境下的产品部署，优化配置产品功能，使产品发挥强大的效能。服务能力分级的应急预案服务。 针对不同的安全事件、服务事件建立了不同级别的应急预案，在出 现重安全事件或针对用户网络出现的不同的安全事件进行有步骤，有计划的处置。快速的应急响应服务。通过多年为大中型用户、重点用户服务的经验积累，能依据用户具体网络环境，业务环境提供适当的服务项目，服务响应级别。多种服务项目及响应机制相 结合，形成保障用户网络稳定运行的服务体系。高效的应急事件服务通道。应急响应服务不仅仅是救援人员现场事态分析、控制、处理，还